staging.inyokaproject.org

System_verschlüsseln

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |
Dieses Thema ist die Diskussion des Artikels System_verschlüsseln.

ostcar Team-Icon

Ehemalige
Avatar von ostcar

Anmeldungsdatum:
27. Juli 2006

Beiträge: 2748

Am Anfang des Artikels steht folgende Hinweisbox

Hinweis:

LVM ist eine Speziallösung, die in erster Linie für Server sowie Desktops mit mehr als einer Festplatte interessant sind. Für Desktops mit nur einer Festplatte oder Notebooks sollte die normale Partitionierungsmethode verwendet werden!

Sie wurde 2010 durch buddy9876 eingefügt. Möglicherweise in Folge von diesem Topic. Hierbei handelt es sich um eine Anleitung, um ein System zu verschlüsseln ohne lvm zu verwenden.

Ich würde die Hinweisbox gerne löschen. Sie ist zumindest insofern falsch, als es es üblich ist LVM innerhalb einer verschlüsselten Partition zu verwenden. Auch auf einem Desktop Rechner mit nur einer Festplatte. Die Hinweisbox trägt jedoch nicht zum Verständnis bei, da sie nur eine Behauptung aufstellt, ohne diese zu erläutern. Sie ist eher geeignet den Leser zu verwirren, vergleiche zum Beispiel hier.

Da die Hinweisbox bereits seit knapp 5 Jahren existiert, wollte ich jedoch zunächst nachfragen, bevor ich sie entferne. Wie steht ihr zu der Box?

undine

Anmeldungsdatum:
25. Januar 2007

Beiträge: 2835

Hi, die Hinweisbox hat mir verunsichert, ostcar Meinung unterstütze ich.

https://forum.ubuntuusers.de/topic/ist-lvm-die-richtige-wahl/

aldor

Anmeldungsdatum:
14. Februar 2007

Beiträge: Zähle...

Hallo!

undine schrieb:

Hi, die Hinweisbox hat mir verunsichert, ostcar Meinung unterstütze ich.

Ich habe neulich zum ersten mal verschlüsselte Systeme eingerichtet und mich dabei an diesem Artikel orientiert. Ich finde die Hinweisbox auch wenig hilfreich. Das liegt zum einen daran, dass die Bezeichnung „Partitionierungsmethode“ ziemlich irreführend ist, zum anderen daran, dass die Warnung wenig begründet oder zumindest übertrieben ist. Noch dazu funktioniert die Schlüsselableitung, die für die alternative Installation benötigt wird, mit systemd (und damit ab Ubuntu 15.04 Vivid Vervet, siehe z.B. hier im Forum) nicht mehr. Bei der Installation ohne LVM scheint es mir deutlich mehr Fallstricke (die Versuchung, nicht alle relevanten Partitionen zu verschlüsseln und das komplizierte Entsperren mehrerer Partitionen) zu geben als bei der mit.

Der Satz direkt nach der Hinweisbox „Alternativ ist es auch möglich, das System ohne LVM zu verschlüsseln, jedoch ist diese Variante weniger flexibel, was nachträgliche Partitionsänderungen angeht.“ trifft die Wahrheit wohl besser. Wie wäre es, wenn wir die Hinweisbox und den nachfolgenden Satz ersetzen durch:

„Die hier beschriebene Variante benutzt den Logical Volume Manager (LVM) als zusätzliche Abstraktionsebene und kommt daher mit nur einer LUKS-verschlüsselten Partition aus. Alternativ ist es auch möglich, die benötigten Partitionen einzeln zu verschlüsseln und so auf LVM zu verzichten. Da LVM das Entsperren beim Systemstart und auch nachträgliche Partitionsänderungen vereinfacht, ist die hier beschriebene Methode vorzuziehen. Außerdem ist zu beachten, dass die für die Methode ohne LVM benötigte LUKS-Schlüsselableitung mit systemd und damit ab Ubuntu 15.04 nicht mehr funktioniert.“

Meinungen?

noisefloor Team-Icon

Ehemaliger
Avatar von noisefloor

Anmeldungsdatum:
6. Juni 2006

Beiträge: 28316

Hallo,

IMHO ok, wobei ich da auch keine Praxiserfahrung habe.

Mal ein paar Tage warten, was noch so an Feedback kommt.

Gruß, noisefloor

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12084

Ich bin wie gesagt auch dafür und streue aasche Asche auf mein Haupt, das nicht weiter vorangetrieben zu haben.

ostcar Team-Icon

Ehemalige
Avatar von ostcar

Anmeldungsdatum:
27. Juli 2006

Beiträge: 2748

Ich würde es komplett streichen. Es gibt immer haufenweise Methoden irgendwas zu machen. Ich kann mir vorstellen, dass die Lesbarkeit darunter leidet, wenn alle Methoden zu beginn vorgestellt werden.

Wer einfach nur sein System verschlüsseln will, der erfährt auf der Seite eine Möglichkeit. Wer damit Probleme hat und bereit ist etwas zu recherchieren, der findet auch noch andere Möglichkeiten, selbst wenn sie nicht sofort genannt werden. Optional könnte man am Schluss einen kurzen Satz in den Artikel einführen, da stört er weniger.

aldor

Anmeldungsdatum:
14. Februar 2007

Beiträge: 204

V for Vortex schrieb:

Ich bin wie gesagt auch dafür ...

Sorry, dass ich das überlesen und nicht gewürdigt hatte.

ostcar schrieb:

Ich würde es komplett streichen. Es gibt immer haufenweise Methoden irgendwas zu machen. Ich kann mir vorstellen, dass die Lesbarkeit darunter leidet, wenn alle Methoden zu beginn vorgestellt werden.

Solange es hier im Wiki mit System verschlüsseln und System verschlüsseln/Schlüsselableitung zwei verschiedene Installationsanleitungen gibt, sollte man schon einen Bezug herstellen und die Unterschiede kurz erwähnen.

Wer einfach nur sein System verschlüsseln will, der erfährt auf der Seite eine Möglichkeit.

Nach einigem Einlesen, Recherchieren und Experimentieren bin ich der Meinung, dass diese Anleitung hier für Desktop-Anwender die Methode der Wahl ist.

Wer damit Probleme hat und bereit ist etwas zu recherchieren, der findet auch noch andere Möglichkeiten, selbst wenn sie nicht sofort genannt werden. Optional könnte man am Schluss einen kurzen Satz in den Artikel einführen, da stört er weniger.

Ja, vielleicht wäre der Verweis auf die alternative Methode am Ende des Artikels besser aufgehoben. Zumal ich nicht sehe, welche Vorteile es hätte, das ohne LVM zu machen. Dadurch wird das Entsperren einfach nur unnötig kompliziert.

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12084

aldor schrieb:

V for Vortex schrieb:

Ich bin wie gesagt auch dafür ...

Sorry, dass ich das überlesen und nicht gewürdigt hatte.

So war das nicht gemeint. 😇 Ich wollte nur meine Begründung nicht nochmal schreiben. 😉

ostcar schrieb:

Ich würde es komplett streichen. Es gibt immer haufenweise Methoden irgendwas zu machen. Ich kann mir vorstellen, dass die Lesbarkeit darunter leidet, wenn alle Methoden zu beginn vorgestellt werden.

Solange es hier im Wiki mit System verschlüsseln und System verschlüsseln/Schlüsselableitung zwei verschiedene Installationsanleitungen gibt, sollte man schon einen Bezug herstellen und die Unterschiede kurz erwähnen.

Zustimmung, in vielen Artikeln wird zu Beginn kurz auf Alternativen hingewiesen. Wie wäre es, einfach den Kasten zu löschen und den Rest der Einleitung so zu lassen?

aldor

Anmeldungsdatum:
14. Februar 2007

Beiträge: 204

Hab die Hinweis-Box mit der Warnung vor LVM jetzt gelöscht und in System verschlüsseln/Schlüsselableitung eine Warnung eingefügt, dass das automatische Entsperren mit systemd nicht mehr funktioniert. Ich hoffe mal, dass das jetzt der Konsens war.

noisefloor Team-Icon

Ehemaliger
Avatar von noisefloor

Anmeldungsdatum:
6. Juni 2006

Beiträge: 28316

Hallo,

IMHO ok.

Gruß, noisefloor

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12084

Super, danke aldor. 👍 (Und systemd hat gerade einiges an Sympathiepunkten bei mir verloren.)

undine

Anmeldungsdatum:
25. Januar 2007

Beiträge: 2835

Hallo V for Vortex,

kannst Du deine Abneigung genauer erläutern?

(Und systemd hat gerade einiges an Sympathiepunkten bei mir verloren.)

https://wiki.ubuntuusers.de/System_verschlüsseln/Schlüsselableitung

Bringt eine Verschlüsselung ohne LVM Vorteile, welche sind das?

Greetz

undine

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12084

undine schrieb:

kannst Du deine Abneigung genauer erläutern?

Nun, auch wenn LVM (inzwischen) der Standard ist und einige Vorteile hat, ist die Schlüsselableitung eine legitime Alternative und in manchen Fällen sinnvoller. Wenn diese nun bei dem ab 15.04 eingeführten beim Booten systemd nicht mehr aufgeschlossen wird, finde ich das nicht gut und es scheint zumindest in diesem Einzelfall die Kritik an systemd zu bestätigen. Ich hoffe, dass dieser Effekt vorübergehend ist und bis zur nächsten LTS 16.04 behoben wird.

aldor

Anmeldungsdatum:
14. Februar 2007

Beiträge: 204

V for Vortex schrieb:

undine schrieb:

kannst Du deine Abneigung genauer erläutern?

Nun, auch wenn LVM (inzwischen) der Standard ist und einige Vorteile hat, ist die Schlüsselableitung eine legitime Alternative und in manchen Fällen sinnvoller. […]

Ich hätte gern meine externe Backup-Platte per Schlüsselableitung entsperrt, LVM macht hier keinen Sinn. (Natürlich hat die auch einen alternativen „manuellen“ Schlüssel, sonst käme man ja nicht mehr an die Daten, wenn man sie am dringendsten braucht.) Als Workaround hab ich einen Schlüssel in einer nur für root lesbaren Datei auf der primären Platte abgelegt. Mein cron-job für die Backups stubst ein Shell-Skript an und das versucht die Platte mit dem Schlüssel in der Datei zu entsperren und einzubinden, falls sie noch nicht eingebunden ist. (Aber langsam wird's arg offtopic. Sorry!)

undine

Anmeldungsdatum:
25. Januar 2007

Beiträge: 2835

Hallo aldor,

Als Workaround hab ich einen Schlüssel in einer nur für root lesbaren Datei auf der primären Platte abgelegt. Mein cron-job für die Backups stubst ein Shell-Skript an und das versucht die Platte mit dem Schlüssel in der Datei zu entsperren und einzubinden, falls sie noch nicht eingebunden ist. (Aber langsam wird's arg offtopic. Sorry!)

Hast Du daüfr ein HowTo, einen Link, einen Thread? Das liest sich interessant und würde mir auch gefallen.

Greetz

undine